GCP - VPC & Networking
Last updated
Last updated
Ucz się i ćwicz Hacking AWS: Ucz się i ćwicz Hacking GCP:
VPC zawiera reguły zapory pozwalające na ruch przychodzący do VPC. VPC zawiera również podsieci, w których będą połączone maszyny wirtualne. W porównaniu do AWS, zapora byłaby najbliższym odpowiednikiem AWS Security Groups i NACLs, ale w tym przypadku są one definiowane w VPC a nie w każdej instancji.
Instancje obliczeniowe są połączone z podsieciami, które są częścią VPC (). W GCP nie ma grup zabezpieczeń, są z regułami zdefiniowanymi na poziomie sieci, ale stosowanymi do każdej instancji VM.
VPC może mieć kilka podsieci. Każda podsiec jest w 1 regionie.
Domyślnie każda sieć ma dwie : zezwól na ruch wychodzący i zabroń ruchu przychodzącego.
Gdy projekt GCP jest tworzony, tworzona jest również VPC o nazwie default, z następującymi regułami zapory:
default-allow-internal: zezwól na cały ruch z innych instancji w sieci default
default-allow-ssh: zezwól na 22 z wszędzie
default-allow-rdp: zezwól na 3389 z wszędzie
default-allow-icmp: zezwól na ping z wszędzie
Jak widać, reguły zapory mają tendencję do bycia bardziej liberalnymi dla adresów IP wewnętrznych. Domyślna VPC zezwala na cały ruch między instancjami obliczeniowymi.
Wszystkie instancje w VPC
Niestety, nie ma prostego polecenia gcloud, które wyświetliłoby wszystkie instancje obliczeniowe z otwartymi portami w internecie. Musisz połączyć kropki między regułami zapory, tagami sieciowymi, kontami serwisowymi i instancjami.
Plik CSV pokazujący instancję, publiczny IP, dozwolony TCP, dozwolony UDP
Skanowanie nmap w celu zaatakowania wszystkich instancji na portach, na które zezwolono z publicznego internetu (0.0.0.0/0)
masscan w celu zaatakowania pełnego zakresu TCP tych instancji, które zezwalają na WSZYSTKIE porty TCP z publicznego internetu (0.0.0.0/0)
Hierarchiczne polityki zapory pozwalają na tworzenie i egzekwowanie spójnej polityki zapory w całej organizacji. Możesz przypisać hierarchiczne polityki zapory do organizacji jako całości lub do poszczególnych folderów. Polityki te zawierają reguły, które mogą wyraźnie zabraniać lub zezwalać na połączenia.
Org: Polityki zapory przypisane do organizacji
Folder: Polityki zapory przypisane do folderu
VPC: Reguły zapory przypisane do VPC
Globalne: Inny typ reguł zapory, które mogą być przypisane do VPC
Regionalne: Reguły zapory związane z siecią VPC NIC VM i regionem VM.
Pozwala na połączenie dwóch sieci Wirtualnych Chmur Prywatnych (VPC), aby zasoby w każdej sieci mogły się komunikować ze sobą. Połączone sieci VPC mogą być w tym samym projekcie, różnych projektach tej samej organizacji lub różnych projektach różnych organizacji.
Oto potrzebne uprawnienia:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Można utworzyć więcej reguł zapory dla domyślnej VPC lub dla nowych VPC. mogą być stosowane do instancji za pomocą następujących metod:
Proces ten został zautomatyzowany za pomocą , który wyeksportuje następujące:
Tworzysz i stosujesz polityki zapory jako oddzielne kroki. Możesz tworzyć i stosować polityki zapory na węzłach organizacji lub folderów w . Reguła polityki zapory może blokować połączenia, zezwalać na połączenia lub odkładać ocenę reguły zapory do folderów niższego poziomu lub reguł zapory VPC zdefiniowanych w sieciach VPC.
Domyślnie wszystkie reguły polityki zapory hierarchicznej mają zastosowanie do wszystkich VM w wszystkich projektach pod organizacją lub folderem, do którego polityka jest przypisana. Możesz jednak ograniczyć, które VM otrzymują daną regułę, określając .
Możesz przeczytać tutaj, jak .
.
Ucz się i ćwicz Hacking AWS: Ucz się i ćwicz Hacking GCP:
Sprawdź !
Dołącz do 💬 lub lub śledź nas na Twitterze 🐦 .
Podziel się sztuczkami hackingowymi, przesyłając PR-y do i repozytoriów github.
